SMSを利用した詐欺【スミッシング】とは?被害事例と対策
- 最近スマホのSMSに怪しい着信があるけど、これもサイバー攻撃でしょうか?
- それは「スミッシング」と呼ばれるSMSを利用したサイバー攻撃なので、注意してくださいね!
SMS(ショートメッセージサービス)とは携帯端末間で「文字(テキスト)」の送受信ができる国際規格のメッセージサービスのことで、ドコモ・au・ソフトバンクなどの携帯キャリアで各種お知らせにも利用されています。
「スミッシング」は「SMS」と「フィッシング」を組み合わせた造語。
特定の企業を装ってメッセージを送信し、受信者をフィッシングサイト(詐欺サイト)に誘導するサイバー攻撃です。
フィッシング詐欺の被害は年々増加しており、フィッシング詐欺のSMS版としてスミッシングにも注意が呼びかけられています。
(参考:フィッシング対策協議会)
この記事ではスミッシングの仕組みと対策を被害事例を交えてお伝えしていきます。
5分程度でスミッシングがどんな攻撃なのか理解できますよ。スミッシングを防ぎたい方は必見です。
1.スミッシングとは?
「スミッシング」とはスマートフォンのSMSを悪用し、詐欺サイトに誘導するフィッシング詐欺です。
コロナ禍でのWEBサービスの利用急増に伴い、詐欺被害に遭わないよう最大限の注意が呼びかけられています。
スミッシングの一般的な手口は以下の通りです。
スミッシングの手口
- 1.特定の企業からのメッセージを装いSMSへランダムに送信
- 2.SMSを受信したユーザーに、記載したURLをタップするよう誘導
- 3.ユーザーがURLをタップすると、攻撃者が用意した偽のWEBサイトが表示
- 4.ID・パスワード・口座情報などを入力させ、個人情報を盗取
URLをタップして表示される偽サイトは正規サイトに見えるよう偽装されているため、被害者は偽物のサイトだと気付かずに個人情報を入力するのです。
これは「フィッシング詐欺」でも使われる典型的な手口で、スミッシングはSMS版のフィッシング詐欺といえます。
フィッシング詐欺について詳しく知りたい方は以下の記事もご覧ください。
1-1.スミッシングの被害が増える背景
スミッシングの増加は通信販売やネットバンキングなど、インターネットを介したサービスの利用拡大と比例します。
通信販売などのWEBサービスを利用する際、最初にするのは会員登録です。
そのとき携帯電話番号などの情報を入力するため、WEBサービスからSMSに送られても疑問を感じません。
通常GmailなどのWEBメールは迷惑メールフィルタを設定してブロックできますが、SMSには適用されずそのまま届くのです。
そのほかに「二要素認証(ログイン情報とSMS認証を組み合わせた手法)」もスミッシングが増加した要因と考えられます。
二要素認証でログインすると本人確認のためSMSに届きますが、攻撃者はその仕組みを悪用してSMSへ送るのです。
2.スミッシングの5つの被害事例
- スミッシングはどんな企業を装ってSMSへ送信するんでしょうか?
- スミッシングは宅配業者のほか、さまざまな企業や組織を装ってSMSに送ります。スミッシングの5つの事例をご紹介しますね。
2-1.ECサイト
現在激増しているのがAmazonや楽天市場などのECサイトを装ったスミッシングです。
新型コロナウイルス感染対策で緊急事態が宣言された2020年には、フィッシング詐欺の約7割がECサイトを装ったものでした。
偽メッセージはさまざまですが、内容は主にアカウント情報の更新や品物の配送状況を知らせるものです。
2-2.宅配業者
ヤマト運輸や佐川急便など、大手宅配業者を装ったスミッシングも急増。
ECサイトからの配送状況や不在による再配達を装い、SMSへ送信するのです。
(参考:佐川急便)
大手宅配業者はSMSで配送状況などを送信しないため、宅配業者からのSMSは詐欺メッセージと考えて間違いありません。
2-3.大手金融機関
三井住友銀行や三菱UFJ銀行・りそな銀行など、大手金融機関を装ったスミッシングも増加。
セキュリティ強化やログイン情報の更新手続きを装い、偽サイトに誘導します。
(参考:三井住友銀行)
各銀行ではフィッシング詐欺へ注意喚起する専用ページを公開しています。
金融機関もSMSではセキュリティ強化や個人情報更新などのお知らせは基本的にしないため、着信のあった場合は開かずに削除しましょう。
2-4.携帯キャリア
SMSでお知らせを配信する携帯キャリア(ドコモ・au・ソフトバンクなど)を装ったスミッシングも確認されています。
主にセキュリティ強化やシステム障害を装って偽サイトに誘導し、不正アプリをダウンロードさせて口座情報や暗証番号を窃取するのです。
発信元を携帯キャリアのように偽装するため、偽物なのか判断するのが困難です。
携帯キャリアはシステム障害などユーザーが不安を抱くようなSMSは基本的に送信しないので、不安があればカスタマーセンターに直接問い合わせしましょう。
2-5.架空請求
ECサイトからの架空請求によるスミッシングでは「支払わなければ法的措置を取る」など、典型的なネット詐欺の手口でユーザーを脅し偽サイトに誘導します。
この手の架空請求は根拠がないため完全無視が鉄則ですが、心配であればECサイトのカスタマーセンターなどに確認しましょう。
- スミッシングはさまざまな企業や組織になりすましてSMSを送りますが、不審な点も多いので詐欺メッセージだと判断できるはずですよ。
3.スミッシングの対処法と対策
- 私のスマホにもスミッシングであろうメッセージが届きますが、無視すればいいんでしょうか?
- 「無視して削除」が一番ですが正規メッセージの可能性もあるので、最善の対処法と予防策をご紹介しますね。
3-1.正規のメッセージなのかを確認
スミッシングは正規サービスを装いSMSへ送ります。
利用したことのあるWEBサービスからのメッセージはURLをタップする可能性があり、被害に遭う方が多いです。
SMSへ届いたら以下のポイントをチェックします。
- 文章に不自然な点がないか
- URLや電話番号は公式サイトと一致するか
迷ったときは利用するWEBサービスのスミッシングに関する情報を確認して、本物か偽物か正確に判断しましょう。
基本的には「身に覚えのないメッセージは無視して削除」が最善の対処法です。
3-2.メッセージを開いてもURLをタップしない
スミッシングは偽サイトに誘導する攻撃なので、被害を防ぐには「URLをタップしない」ことが鉄則!
着信したSMSを開いただけなら被害は発生しません。
文章やURLなどに少しでも違和感があったら、絶対にURLはタップしないでください。
不用意にURLをタップする前に、メッセージの内容をカスタマーセンターなどに問い合せて確認しましょう。
3-3.スミッシング対策アプリの利用
スミッシングは一方的にSMSへ送るため、悪意のあるSMSの着信をブロックするアプリの利用が効果的です。
Android・iPhoneそれぞれ迷惑メッセージをブロックするアプリが配信されていますが、中でも「Whoscall」がおすすめです。
迷惑電話や詐欺電話をブロックしてくれるほか「SMSアシスタント」機能がスミッシングに効果的。
Whoscall独自のデータベースを基に、特定のキーワードを含んだメッセージを識別して詐欺メッセージをブロックします。
- スミッシングの詐欺メッセージが届いたら無視し、不用意にURLをタップしないのが鉄則ですよ!
詐欺メッセージの着信でお困りの方は、アプリを利用して効果的にブロックしましょう。
4.まとめ
スミッシングはSMSを悪用した新手のフィッシング詐欺としてコロナ禍の現在、注意が呼びかけられています。
大手金融機関や通販会社・宅配業者などを装ってメッセージを送りますが、内容的に不審な点が多いため冷静になれば詐欺メッセージだと判断できるはずです。
大手携帯キャリア以外は基本的にSMSでの情報発信はしないため、無視して削除するのが最善の対処法です。
仮に身に覚えのあるサービスからメッセージが届いても、不用意にURLをタップするのは厳禁!
利用するWEBサービスの情報を確認するほか、カスタマーセンターなどに問い合わせて偽物か本物かを正確に判断しましょう。
